Безпека електронного бізнесу

Реферат

на тему:

«Безпека електронного бізнесу»

Виконала

Студентка 1 курсу ОЕФ, 12 гр

Лазар Ольга

Перевірила

Викладач

Аліса Юріївна

Електронний бізнес - це перетворення основних бізнес-процесів компанії шляхом впровадження інтернет-технологій, націлене на підвищення ефективності діяльності. Електронним бізнесом є всяка ділова активність, що використовує можливості глобальних інформаційних мереж для перетворення внутрішніх і зовнішніх зв'язків компанії. З технічної точки зору, інтернет це всесвітнє об'єднання комп'ютерних мереж, якій можуть пов'язувати комп'ютери всередині підприємства, яка називається інтранет, або ж об'єднання локальних мереж різних підприємств, яке називається екстранет.
Електронний бізнес являє собою будь-яку транзакцію, досконалу за допомогою мережі, по завершенню якої відбувається передача права власності товарів або послуг. Транзакція - банківська операція з переказу грошових коштів для будь-якої мети.
Область застосування електронного бізнесу: 1) фінансові операції в інтерактивному режимі. До них належать операції з банківським продуктом, операції зі страховим продуктом, інтерактивне інвестування, спекулятивні операції з валютою і цінними паперами. 2) ринки електронної торгівлі. До них відносятьсяторгівля через візуальні магазини, торгівля інформаційним продуктом, торгівля туристичним продуктом. 3) ринки мобільної торгівлі. Це торгівля через торговельні автомати і ринки торговельних послуг.

 

Безпека електронного бізнесу

На думку експертів, розвиток електронного бізнесу багато в чому визначається прогресом у галузі інформаційної безпеки, під якою розуміється стан стійкості інформації до випадкових чи навмисних впливів, що виключає неприпустимий ризик її знищення, спотворення і розкриття, які призводять до ма-теріальних збитків власника чи користувача інформації.
Для одержання доступу до інформації користувач повинен пройти процедури аутентифікації (встановлення особистості) і авторизації (визначення прав доступу). Крім того, сам сервер також повинен бути аутентифікований користувачем.
Основні завдання при досягненні безпеки інформації поляга-ють у забезпеченні ЇЇ доступності, конфіденційності, цілісності і юридичній значимості. Кожна загроза повинна розглядатися з по-гляду того, наскільки вона може торкнутися цих чотирьох влас-тивостей або якості безпечної інформації. Конфіденційність оз-начає, що інформація обмеженого доступу повинна бути доступ-на тільки тому, кому вона призначена. Під цілісністю інформації розуміється її властивість існування в неспотвореному вдгляді. Доступність інформації визначається здатністю системи забез-печувати своєчасний безперешкодний доступ до інформації для суб'єктів, які мають на це належні повноваження. Юридична зна-чимість інформації здобуває дедалі більшу важливість у резуль-таті створення нормативно-правової бази безпеки інформації в нашій країні.
Безпека будь-якої системи електронного бізнесу полягає в захисті від різного роду втручань у ЇЇ дані. Усі ці втручання мож-на умовно розділити на кілька категорій:
розкрадання даних (наприклад, розкрадання номерів кредитних карт із бази даних);
втручання (наприклад, перевантаження даними сайта, не призначеного для такого великого обсягу інформації);
перекручування даних (наприклад, зміна сум у файлах платежів і рахунків-фактур чи створення неіснуючих сер-тифікатів);
руйнування даних (наприклад, при передачі користува-чу і назад);
відмова від виконаних дій (наприклад, від факту оформ-лення замовлення чи одержання товару);
ненавмисне неправильне використання засобів сайта ко-ристувачем;
несанкціонований доступ до інформації (несанкціонова-не копіювання, відновлення або інше використання даних, про-ведення несанкціонованих трансакцій, несанкціонований пере-глятт чи пеоедача даних).

При цьому необхідно враховувати, що при забезпеченні без-пеки електронного бізнесу є ряд об'єктивних проблем - приско-рений розвиток технології! стосовно удосконалювання законо-давчої бази, складність упіймання зловмисників на місці злочи-ну, можливість безслідного знищення доказів і слідів злочинів і т.п. Усе це обумовлює необхідність ретельної розробки ком-паніями політики захисту свого електронного бізнесу.
Забезпечення безпеки електронного бізнесу ускладнюється наявністю безлічі готових і зроблених на замовлення програм-них додатків від різних постачальників і значної кількості зовнішніх послуг, надаваних провайдерами і бізнес-партнерами. Значна частина цих компонентів і послуг звичайно непрозорі для ІТ-фахівців компаній-замовників, крім того, багато з них ча-сто модифікуються й удосконалюються їхніми творцями. Усе це ускладнює їх ретельну перевірку на предмет потенційних де-фектів захисту.
Для захисту від зовнішнього вторгнення сьогодні існує безліч систем, які є різного роду фільтрами, що допомагають ви-явити спроби несанкціонованого втручання на ранніх етапах і по можливості не допустити зловмисників у систему через зовнішні мережі. До таких засобів належать:
маршрутизатори - пристрої керування трафіком мережі, розташовані між мережами другого порядку і керують вхідним та вихідним трафіком приєднаних до нього сегментів мережі;
брандмауери - засоби ізоляції приватних мереж від ме-реж загального користування, що використовують програмне забезпечення, яке відслідковує і припиняє зовнішні атаки на сайт за допомогою певного контролю типів запитів;
шлюзи додатків - засоби, за допомогою яких адміністра-тор мережі реалізує політику захисту, якою керуються маршру-тизатори, що здійснюють пакетну фільтрацію;
системи відстеження вторгнень - системи, які виявля-ють навмисні атаки і ненавмисне неправильне використання си-стемних ресурсів користувачами;
засоби оцінки захищеності (спеціальні сканери та ін.) -програми, які регулярно сканують мережу на предмет наявності проблем і тестують ефективність реалізованої політики безпеки.
Базовий набір інструментів для забезпечення інформаційної безпеки Web-вузлів, що користується довірою споживачів, ста-новлять технології SSL1 і SET2. Для аутентифікації використо-вується метод SSL, для шифрування даних - SET. Існує безліч альтернативних стандартів, однак вони вимагають узгодженості програмного забезпечення партнерів і застосовуваних процедур, Ідо призводить до підвищення складності і зростання витрат.
Протокол SSL, розроблений американською компанією Netscape Communications Corp., дозволяє серверу і клієнту пе-ред початком інформаційної взаємодії аутентифікувати чи про-вести перевірку дійсності один одного. Він призначений для розв'язання традиційних завдань забезпечення захисту інфор-маційної взаємодії, які у середовищі «клієнт-сервер» інтерпре-туються таким чином:
при підключенні користувач і сервер повинні бути взаємно впевнені, що вони обмінюються інформацією не з підставними абонентами, не обмежуючись паролевим захистом; після встановлення з'єднання між сервером і клієнтом весь інформаційний потік повинен бути захищений від не-санкціонованого доступу;
при обміні інформацією сторони повинні бути впевнені у відсутності випадкових чи навмисних спотворень при її пере-дачі.
Широке розповсюдження протоколу SSL пояснюється в першу чергу тим, що не є складовою частиною усіх відомих бра-узерів і Web-серверів.
Найрозповсюдженіший закордонний досвід вирішення пи-тань керування криптографічними ключами електронного доку-ментообігу ґрунтується на використанні інфраструктури відкритих ключів3. Цим терміном описується повний комплекс програмно-апаратних засобів і організаційно-технічних заходів, необхідних для використання технології з відкритими ключами.
Ця інфраструктура передбачає використання цифрових сертифікатів і розгорнутої мережі центрів сертифікації, які за-безпечують видачу і супровід цифрових сертифікатів для всіх учасників електронного обміну документами. За своїми функціями цифрові сертифікати аналогічні звичайній печатці, яка засвідчує підпис иа паперових документах.

Цифрові сертифікати містять відкриті криптографічні ключі абонентів, завірені електронним цифровим підписом центру сер-тифікації, і забезпечують однозначну аутентифікацію учасників обміну. Цифровий сертифікат - це певна послідовність бітів, за-снованих на криптографії з відкритим ключем, що представляє собою сукупність персональних даних власника і відкритого ключа його електронного підпису (при необхідності, і шифру-вання), зв'язаних у єдине незмінне ціле електронним підписом центру сертифікації. Цифровий сертифікат оформляється у ви-гляді файла або ділянки пам'яті і може бути записаний на диске-ту, інтелектуальну карту, елемент touch-memory, будь-який інший носій даних.
Цифрові сертифікати запобігають можливості підробок, від яких не застраховані існуючі віртуальні системи, Сертифікати також дають впевненість власнику карти і продавцю в тому, що їхні трансакції будуть оброблені з таким же високим рівнем за-хисту, що й традиційні трансакції.
За такою схемою розгортаються багато сучасних міжнародних систем обміну інформацією у відкритих мережах. Серед центрів сертифікації - відомі американські компанії Verisign і GTE.
Найбільш перспективний протокол чи стандарт безпечних електронних трансакцій у мережі Інтернет SET, призначений для організації електронної торгівлі через Інтернет. У багатьох країнах світу вже існує безліч державних, відомчих і корпоратив-них центрів сертифікації, які забезпечують ключове керування.
Відкритий стандартний багатосторонній протокол SET роз-роблений компаніями MasterCard і Visa за участю IBM, GlobeSet та інших партнерів. Він дозволяє покупцям здобувати товари через Інтернет за допомогою пластикових карток, вико-ристовуючи найзахищеніший нині механізм виконання платежів. SET забезпечує крос-аутентифікацію рахунка власника карти, продавця і банку продавця для перевірки готовності оп-лати, цілісність і таємність повідомлення, шифрування цінних і уразливих даних. Тому SET правильніше називати стандартною технологією чи системою протоколів виконання безпечних пла-тежів з використанням пластикових карт через Інтернет.
Обсяг потенційних продажів у галузі електронної комерції обмежується досягненням необхідного рівня безпеки інфор-мації, який забезпечують спільно покупці, продавці і фінансові інститути. На відміну від інших протоколів, SET дозволяє вирішувати базові завдання захисту інформації в цілому.
Зокрема, SET забезпечує такі спеціальні вимоги захисту операцій електронної комерції:
таємність даних оплати і конфіденційність інформації замовлення, переданої разом з даними про оплату;
збереження цілісності даних платежів, що забезпе-чується за допомогою цифрового підпису;
спеціальну криптографію з відкритим ключем для про-ведення аутентифікації;
аутентифікацію власника по кредитній картці із застосу-ванням цифрового підпису і сертифікатів власника карт;
аутентифікацію продавця і його можливості приймати платежі по пластикових картках із застосуванням цифрового підпису і сертифікатів продавця;
аутентифікацію банку продавця як діючої організації, яка може приймати платежі по пластикових картках через зв'язок із процесинговою картковою системою. Аутентифікація здійснюється з використанням цифрового підпису і сер-тифікатів банку продавця;
готовність оплати трансакцій у результаті аутен-тифікації сертифіката з відкритим ключем для всіх сторін;
безпека передачі даних за допомогою переважного вико-ристання криптографії.
Основна перевага SET полягає в застосуванні цифрових сертифікатів, що асоціюють власника карти, продавця і банк продавця з рядом банківських установ, які входять до платіжних систем Visa і MasterCard.
Крім того, протокол SET дозволяє зберегти існуючі відно-сини між банком, власниками карт, продавцями і може бути інтегрований в існуючі системи.
Інформаційна безпека часто залежить від так званого людського фактору, пов'язаного з тим, що системи електрон-ного бізнесу створюються, модернізуються і керуються людьми, і від їхньої чесності, професійних якостей і майстерності зале-жить довіра споживачів та загальний успіх усього підприємства.

Результати безлічі досліджень показують, що найбільше занепо-коєння в компаній викликає саме внутрішня загроза - навмисні чи ненавмисні дії власних працівників.
У проблемі захисту від внутрішніх загроз розрізняють два аспекти: технічний і організаційний. Технічний аспект полягає в прагненні виключити будь-яку імовірність несанкціонованого доступу до інформації. Для цього застосовуються такі засоби:
підтримка системи паролів та їх регулярна зміна;
надання мінімуму прав, необхідних для роботи в сис-темі;
наявність стандартних процедур своєчасної зміни груп доступу при кадрових змінах і негайному знищенні доступу після звільнення працівника.
Організаційний аспект полягає в розробці раціональної політики внутрішнього захисту, яка перетворює в рутинні опе-рації такі способи захисту і запобігання зламування:
введення загальної культури дотримання безпеки в ком-панії;
створення системи розподілу повноважень і колективної відповідальності;
тестування програмного забезпечення на предмет не-санкціонованого втручання;.
відстеження спроб несанкціонованого втручання і їхнє ретельне розслідування;
проведення періодичних тренінгів для персоналу з пи-тань безпеки і кіберзлочинності, які містять інформацію про конкретні ознаки зламувань для максимального розширення ко-ла працівників, які мають можливість виявити такі дії;
введення чітких процедур відпрацьовування випадків ненавмисної зміни чи руйнування інформації.